Infezione che fa cadere la connessione
Stampato da: PCPRIMIPASSI.IT
Categoria: SICUREZZA INFORMATICA
Nome del Forum: Infezioni informatiche e Sicurezza informatica in generale
Descrizione del forum: Per chi è stato infettato o ha problemi con virus o cavalli di Troia, Rootkits, Adware, Spyware e Malwares in generale o per discutere di tematiche relative alla sicurezza informatica.
URL: Vedi discussione
Data di Stampa: 29/Aprile/2024 alle 15:41
Topic: Infezione che fa cadere la connessione Postato da: RAVEN
Soggetto: Infezione che fa cadere la connessione
Postato in data: 29/Aprile/2011 alle 14:18
Oggi ho io bisogno dell'aiuto di qualcuno di voi...vi spiego brevemente il problema...
Da tempo ormai ho una connessione che cade spesso, lenta nella risposta che intercorre da quando digito un sito a quando inizia a caricarlo.....
Dopo mesi di scansioni in cui non veniva rilevato nulla (per cui incolpavo la telecom per una scarsa linea ADSL), un bel giorno passo COMBOFIX che mi cancella un sacco di roba.....e al riavvio....miracolo.....tutto va come una saetta....
La favola è durata circa 3 settimane, poi, dopo avere aggiornato spybot search and destroy, rieccoci alla stessa lentezza....
Ho usato ogni software conosciuto anche per i rootkit..... gli antispyware non rivelano niente, gli antirootkit qualcosa che via via ho eliminato ma niente di serio......
La situazione è invariata in quanto a prestazioni...ho fatto un log con GMER....se qualcuno sa aiutarmi gliene sarei particolarmente grato
******************************************
GMER 1.0.15.15572 - http://www.gmer.net
Rootkit scan 2011-04-29 14:10:27
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 IC35L120AVV207-1 rev.V24OA66A
Running: 1upl75wk.exe; Driver: C:\DOCUME~1\Stefano\IMPOST~1\Temp\awgyrfod.sys
*******************************
Log editato dopo controllo:
Nessuna voce di codici maligni indiviruata
*******************************
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Da tempo ormai ho una connessione che cade spesso, lenta nella risposta che intercorre da quando digito un sito a quando inizia a caricarlo.....
Dopo mesi di scansioni in cui non veniva rilevato nulla (per cui incolpavo la telecom per una scarsa linea ADSL), un bel giorno passo COMBOFIX che mi cancella un sacco di roba.....e al riavvio....miracolo.....tutto va come una saetta....
La favola è durata circa 3 settimane, poi, dopo avere aggiornato spybot search and destroy, rieccoci alla stessa lentezza....
Ho usato ogni software conosciuto anche per i rootkit..... gli antispyware non rivelano niente, gli antirootkit qualcosa che via via ho eliminato ma niente di serio......
La situazione è invariata in quanto a prestazioni...ho fatto un log con GMER....se qualcuno sa aiutarmi gliene sarei particolarmente grato
******************************************
GMER 1.0.15.15572 - http://www.gmer.net
Rootkit scan 2011-04-29 14:10:27
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 IC35L120AVV207-1 rev.V24OA66A
Running: 1upl75wk.exe; Driver: C:\DOCUME~1\Stefano\IMPOST~1\Temp\awgyrfod.sys
*******************************
Log editato dopo controllo:
Nessuna voce di codici maligni indiviruata
*******************************
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Risposte:
Postato da: prgn
Postato in data: 29/Aprile/2011 alle 14:50
Ciao, proviamo questo un tool per eliminare eventuali rootkit particolarmente rognosi... Tdsskiller:
http://support.kaspersky.com/viruses/solutions?qid=208280684 -
http://support.kaspersky.com/viruses/solutions?qid=208280684
Il log che crea dopo la scansione dovrebbe trovarsi in c:
Poi fai anche una scansione con Systemascan:
http://www.suspectfile.com/systemscan - http://www.suspectfile.com/guida_systemscan.php - http://www.suspectfile.com/guida_systemscan.php
Il log è particolarmente grande, ma da una visione abbastanza completa, ti conviene mandarmelo per email. Avira potrebbe darti qualche avviso riguardo questo file, digli di ignorare.
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
http://support.kaspersky.com/viruses/solutions?qid=208280684 -
http://support.kaspersky.com/viruses/solutions?qid=208280684
Il log che crea dopo la scansione dovrebbe trovarsi in c:
Poi fai anche una scansione con Systemascan:
http://www.suspectfile.com/systemscan - http://www.suspectfile.com/guida_systemscan.php - http://www.suspectfile.com/guida_systemscan.php
Il log è particolarmente grande, ma da una visione abbastanza completa, ti conviene mandarmelo per email. Avira potrebbe darti qualche avviso riguardo questo file, digli di ignorare.
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: RAVEN
Postato in data: 30/Aprile/2011 alle 10:37
Ecco il logo di TDSSkiller
*******************************
Log editato dopo controllo:
Nessuna voce di codici maligni indiviruata
*******************************
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
*******************************
Log editato dopo controllo:
Nessuna voce di codici maligni indiviruata
*******************************
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: prgn
Postato in data: 30/Aprile/2011 alle 11:39
Sptd.sys non è detto che sia infetto, specie se hai daemon tool installato...
Dal checksum dovrebbe esser buono ma oggi non ci si può fidare nemmeno di questo... Aspetto l'altro log
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Dal checksum dovrebbe esser buono ma oggi non ci si può fidare nemmeno di questo... Aspetto l'altro log
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: RAVEN
Postato in data: 30/Aprile/2011 alle 13:13
ok grazie....in effetti ho daemon tool installato...che faccio lo riattivo visto che lo avevo messo in quarantena ? e se si come lo riattivo ?
Ti posto il log sulla tua email...
AGGIORNAMENTO:
Dopo la scansione con systemscan AVIRA mi ha bloccato il rootkit FUZEN.M sul file A0003647.sys che stava nel restore della directory system volume information in C:\.
Non è la prima volta che mi becca questo tipo di files che iniziano per A000xxx ...non so se può essere utile.
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Ti posto il log sulla tua email...
AGGIORNAMENTO:
Dopo la scansione con systemscan AVIRA mi ha bloccato il rootkit FUZEN.M sul file A0003647.sys che stava nel restore della directory system volume information in C:\.
Non è la prima volta che mi becca questo tipo di files che iniziano per A000xxx ...non so se può essere utile.
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: RAVEN
Postato in data: 30/Aprile/2011 alle 16:57
aggiornamento...
Ho scaricato DrWeb Cureit ed ho fatto una scansione....mi ha individuato immediatamente una modifica al file HOST e mi ha chiesto se volevo farlo tornare allo stato originale...
...ho risposto si ...
Inoltre ha anch'esso individuato il rootkit FUZEN che ormai si trovava nella quarantena di AVIRA....ho detto pure a lui di spostarlo in quarantena (quindi sottraendolo ad AVIRA)..... ho riavviato ed ora la connessione va come un fulmine !!!
Che possa avere risolto definitivamente ?
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Ho scaricato DrWeb Cureit ed ho fatto una scansione....mi ha individuato immediatamente una modifica al file HOST e mi ha chiesto se volevo farlo tornare allo stato originale...
...ho risposto si ...
Inoltre ha anch'esso individuato il rootkit FUZEN che ormai si trovava nella quarantena di AVIRA....ho detto pure a lui di spostarlo in quarantena (quindi sottraendolo ad AVIRA)..... ho riavviato ed ora la connessione va come un fulmine !!!
Che possa avere risolto definitivamente ?
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: RAVEN
Postato in data: 01/Maggio/2011 alle 17:44
Confermo che il problema è stato risolto quindi a breve chiudiamo la discussione....
Il file hosts è stato riportato all'originale e gli oggetti infetti dal rootkit FUZEN quarantenizzati.....questo è bastato ma credo che questo problema si ripresenterà anche perchè non ho ancora capito da dove entra....
Aspetto comunque un suggerimento di prgn dato che l'ho disturbato ...vediamo se individua qualcosa o ha qualche suggerimento per me.....
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Il file hosts è stato riportato all'originale e gli oggetti infetti dal rootkit FUZEN quarantenizzati.....questo è bastato ma credo che questo problema si ripresenterà anche perchè non ho ancora capito da dove entra....
Aspetto comunque un suggerimento di prgn dato che l'ho disturbato ...vediamo se individua qualcosa o ha qualche suggerimento per me.....
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: prgn
Postato in data: 02/Maggio/2011 alle 17:01
Ciao, come ti dicevo, rispetto al log che mi hai mandato, non ho trovato oggetti cattivi (anche se mi rimane di confrontare i driver e i servizi...)
Di fuzen non ho trovato schede e tanto meno lo conosco per poterti dire o dare indicazioni precise, ad intuito penso sia un rootkit a servizio di altre infezioni o di qualche software... Comunque l'ha tolto e va bene così. L'hosts, poichè la modifica non mi è sembrata malevole, come hai ipotizzato tu, sarà stata effettuata a seguito di qualche immunizzazione con qualche software di sicurezza...
Rispetto l'ipotetico rootkit sptd.sys, ho ragione di credere che dipenda da daemon tool... comunque, prova a vedere se il programma ti funziona... Eventualmente si prova a ripristinarlo nel caso il programma non ti funzioni.
Come suggerimento, poichè siamo andati nel verso delle scansioni con tool anti malware.... a questo punto ne farei una approfondita, così si "spazza" un po' alla ricerca di eventuali tracce. O utilizzi avira, impostando di scansionare tutti i file (in configurazione) in scansione. (quindi non in controllo in tempo reale, che sarebbe troppo pesante, solo in scansione va messo "tutti i file").
In alternativa, c'è il tool di kasperky, che fa anche lui una scansione approfondita.. (già impostata per default) http://support.kaspersky.com/viruses/avptool2010?level=2 - http://support.kaspersky.com/viruses/avptool2010?level=2
Anzi, io userei proprio kasperky per confronto... Dopo aver fatto la scansione ed eliminato eventuali file infetti... conviene disistallarlo, visto che comunque non si aggiorna normalmente...
FAtto questo, elimina il rispristino configurazione di sistema in modo da togliere eventuali tracce nei punti salvati, per eliminarlo basta disattivaro.
Dopo averlo disattivato, riattivalo e crea un punto di ripristino pulito.
In più protresti fare una pulizia con ccleaner, risolvendo anche eventuali problemi al registro di sistema...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Di fuzen non ho trovato schede e tanto meno lo conosco per poterti dire o dare indicazioni precise, ad intuito penso sia un rootkit a servizio di altre infezioni o di qualche software... Comunque l'ha tolto e va bene così. L'hosts, poichè la modifica non mi è sembrata malevole, come hai ipotizzato tu, sarà stata effettuata a seguito di qualche immunizzazione con qualche software di sicurezza...
Rispetto l'ipotetico rootkit sptd.sys, ho ragione di credere che dipenda da daemon tool... comunque, prova a vedere se il programma ti funziona... Eventualmente si prova a ripristinarlo nel caso il programma non ti funzioni.
Come suggerimento, poichè siamo andati nel verso delle scansioni con tool anti malware.... a questo punto ne farei una approfondita, così si "spazza" un po' alla ricerca di eventuali tracce. O utilizzi avira, impostando di scansionare tutti i file (in configurazione) in scansione. (quindi non in controllo in tempo reale, che sarebbe troppo pesante, solo in scansione va messo "tutti i file").
In alternativa, c'è il tool di kasperky, che fa anche lui una scansione approfondita.. (già impostata per default) http://support.kaspersky.com/viruses/avptool2010?level=2 - http://support.kaspersky.com/viruses/avptool2010?level=2
Anzi, io userei proprio kasperky per confronto... Dopo aver fatto la scansione ed eliminato eventuali file infetti... conviene disistallarlo, visto che comunque non si aggiorna normalmente...
FAtto questo, elimina il rispristino configurazione di sistema in modo da togliere eventuali tracce nei punti salvati, per eliminarlo basta disattivaro.
Dopo averlo disattivato, riattivalo e crea un punto di ripristino pulito.
In più protresti fare una pulizia con ccleaner, risolvendo anche eventuali problemi al registro di sistema...
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: prgn
Postato in data: 24/Maggio/2011 alle 15:38
Ho controllato i servizi ed i driver e non ho visto nulla di strano... Se confermi che il pc adesso va bene mi sa che è tutto ok
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Ciao
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: RAVEN
Postato in data: 24/Maggio/2011 alle 17:09
Faccio una scansione con il tool che mi hai suggerito, comunque da allora tutto ok si....AVIRA lo uso già come mi hai consigliato di usarlo anche tu ed ho già fatto scansioni approfondite...
Segnalo comunque che questa infezione me le ha fatte vedere nere....
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Segnalo comunque che questa infezione me le ha fatte vedere nere....
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
Postato da: prgn
Postato in data: 26/Maggio/2011 alle 11:27
Si, pensa che in giro ci sono "bestiacce" che riescono ad ingannare anche il sistema del checksum di kaspersky... possono controllare totalmente quello che viene letto dal disco e si nascondono in partizioni nascoste. 
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
-------------
<em><strong>SALVIAMO I NEUTRINI DAL TUNNEL!</strong> Sottoscrivi anche tu la petizione...</em> <img src="http://pcprimipassi.it/servizifree/forum/smileys/smiley17.gif" border="0" />
Postato da: RAVEN
Postato in data: 28/Maggio/2011 alle 15:35
L'ho scaricato ma dato che va installato ed io sono restio ad installare troppe cose sul mio pc, per ora lascio perdere, anche perchè il sistema gira benone....in caso lo uso alla prossima occasione (che spero non ci sia)
...
chiudo il topic....grazie !!!
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>
...chiudo il topic....grazie !!!
-------------
Stefano Ravagni - <strong>'tanto prima o poi ti buco!'...disse il baco alla noce</strong> <br /> <br /><a href="https://www.pcprimipassi.it/donazioni.asp" target="_blank">SOSTIENICI</a>